Thèmes

bonjour citation etudes film homme management risk sélection

Rubriques

>> Toutes les rubriques <<
· 1 - Welcome Userguide et Curriskulum vitae (4)
· 2 - Connaître le Risk Management (26)
· 3- Environnement intéressant pour le Risk Management (17)
· 4- Catalogue de formations en Risk Management (11)
· 5 - Tout noir ou tout blanc : Espace détente sympa ou répliques sévères (2)

Rechercher
Derniers commentaires

bonjour, je tombe par hasard sur votre bloc et je vous félicite pour ce grand travail. je suis intéressée àfai
Par salma, le 24.11.2013

bjr, d'abord je vous felicite de votre initiative de mettre en place un blog qui nous informe du risk manageme
Par Camara, le 30.12.2012

mes salutations monsieur: j'a is l'honneur de vous demendez pour m'informes sur les conditions et les étapes
Par BOUDEHBA, le 11.08.2011

bonjour, voic i l'adresse d'un site qui regroupe les flux d'information les plus intéressants concernant la g
Par Anonyme, le 25.07.2011

bonjour, je suis une étudiante en master mae, le thème du risque management est un thème qui m'a beaucoup inté
Par sarah, le 13.03.2011

Voir plus

Articles les plus lus

· Introduction de mon mémoire de fin d'étude sur les Plans de Continuité d'Activité
· La créativité, qualité essentielle pour ce métier!
· Les risques d'externalisation et de délocalisation
· Comment entrer à l'ESM-A et au Msa2 mgt des risques
· MS Mgt des risques internationaux à HEC

· Licence Pro de l'Université du Havre (Scientifiques)
· L'orientation scolaire en France, un problème!!!
· ISEAM avis
· Exemples du besoin de risk management
· L'Oréal crise
· Master Pro de l'IAE de Nantes
· Le principe de Précaution, tant d'émules et pourtant...
· Les rôles du Risk Manager dans la Gestion de Crise
· Risques Psychosociaux: Sujet d'actualité (Suite)
· Les Plans de Continuité d'Activité: Une problématique complexe

Voir plus 

Abonnement au blog
Recevez les actualités de mon blog gratuitement :


Blogs et sites préférés

· Institut de Maîtrise des Risques
· Cercle Ethique des Affaires
· Agora du risque
· LEXSI
· Risk Intelligence Deloitte & Touche
· The Business Continuity Institute
· Rothstein Business
· Blog Finance
· l'OIC
· communication-sensible.com

Voir plus


Statistiques

Date de création : 07.06.2007
Dernière mise à jour : 29.11.2010
60articles


2 - Connaître le Risk Management

La sélection pour devenir Risk Manager

Publié le 28/11/2010 à 21:11 par riskmanagerloictournez Tags : bonjour risk management sélection etudes

Bonjour,

 

Je reviens de longs mois de silences. Professionnel de la gestion des risques, mais aussi depuis quelques temps en formation pour devenir en sus accompagnateur en projet de vie personnelle et professionnelle (en d'autres termes coach), ça prend pas mal de temps.

Un étudiant viens de m'envoyer un mail en me demandant s'il y avait un numerus clausus pour devenir Risk Manager ?

Cela m'a donné l'idée d'écrire sur le niveau et les critères de sélection dans ce métier.

 

A ma connaissance, et toute exception sera là pour confirmer la règle, le métier n'est pas encore suffisemment convoité et développé pour entraîner une sélection sur le prestige du diplôme.

Pour une entrée en fonction, une motivation particulière pour le risk management peut suffir car le risk management est gourmand de profils variés, ouverts, pour l'ouverture de lecture sur les risques. La formation reste la meilleure des garanties: Risk management, sécurité - sûreté, management des assurances, management de manière générale, contrôle interne, audit interne, sont les plus courants.

J'ai envi de dire qu'ensuite, la première clé pour réussir dans le risk management, le pur et dur, c'est l'expérience professionnelle. Comptez au moins 5 - 6 ans pour devenir Risk Manager en titre, voire même 10.

En attendant, de nombreuses fonctions très intéressantes vous sont largement accessibles : service risk management dans une banque (gestion des risques dossiers de crédits), contrats d'assurances, ingénieurs de cabinets de courtage, assistant Risk Manager (mon préféré, celui qui permet d'avoir la meilleure vision possible du métier), etc.

 

De plus en plus d'étudiants m'écrivent pour connaître les diplômes et orientations dans ce domaine, c'est très encourageant et j'espère répondre comme il faut pour les aider.

 

N'hésitez donc pas à me demander si besoin.

 

Loïc

 

ERM : Enterprise Risk Management _ Le Processus

Publié le 23/11/2009 à 11:22 par riskmanagerloictournez
Je n'en parle pas beaucoup en effet, l'ERM (Enterprise Risk Management) est le processus sur lequel se base le Risk Management tel que nous l'entendons depuis le début dans ce blog.

En voici une illustration (en anglais) que je trouve très bien faite car elle fait ressortir la partie "Continuité":

http://ddata.over-blog.com/xxxyyy/0/32/13/25/Risques/enterprise_risk_management_enhancement_white_paper.pdf

Autre illustration :



Je n'en parle que très rarement car le Risk Management étant une démarche intuitive, elle est au font la même chose que le célèbre PDCA (Plan/Do/Check/Act, ou roue de Deming). Le besoin des Risk Managers se situe davantage dans la connaissance des méthodes à utiliser dans chacune des étapes de l'ERM. Pour ma part, je prône la simplicité et pour chacune des étapes, je préconise au Risk Manager la Communication avant la Méthode. Je ne pense pas qu'il existe des méthodes de Risk Managers pour chacune des étapes. Le Risk Management est bel et bien une démarche : Rencontrer, interviewer, indentifier, challenger, consolider, reporter, synthétiser et sensibiliser, etc. Donc, en résumé, l'ERM n'existe pas à mon esprit. Il est une démarche globale qui occulte la démarche pratique qui sert de méthode... Pas simple à comprendre tout ça...

Les méthodes qu'on peut voir et que j'ai publié dans ce blog, sont des méthodes à destination des professionnels du risque ou propriétaires de risques qui ne font pas du Risk Management a proprement parler. Ces méthodes doivent être utilisées par des experts qui connaissent parfaitement la technicité de leur métier. De cette expertise et grâce à de réelles méthodes à respecter scrupuleusement, il en ressort une identification de certains risques qui sont ensuite reportés au Risk Manager. Ce reporting individuel, expert, apporte au Risk Manager un aperçu des risques globaux qu'il recoupe ensuite. Le processus ERM a commencé, mais pas grâce aux méthodes d'identification. Le processus ERM a commencé à partir du moment oû il y a eu reporting de cette identification au Risk Manager. Ce dernier doit aussi interviewer les autres Directions qui ne possèdent pas de méthodes aussi bien structurées pour identifier et analyser les risques. Une simple réflexion intellectuelle et éclairée suffit.

En conclusion, dans le fond de ma pensée, je veux montrer que LA méthode n'existe pas dans le Risk Management. Le Risk Management se veut être une démarche, donc il ne peut être résumé à une et une seule méthode. In fine, Méthode et Risk Management, ça ne colle pas. Le Risk Management puise dans les résultats d'une méthode. Si une Direction des risques prétend faire du Risk Management grâce à une méthode: Il y a quelque chose de louche à mon sens. Ensuite, en tant que démarche, on dit que le Risk Management se résume à un processus, l'ERM. Je suis fondamentalement d'accord avec cela, à peu de chose près. L'ERM est un processus Qualité dont la finalité est de permettre d'atteindre ses objectifs, de satisfaire aux besoins exprimés. Or, le Risk Management, c'est surtout l'anticipation. Répondre à l'anticipation n'a pas de processus.

Bonne route sur l'ERM!

L'ISO 31000 : Le Risk Management a sa norme!

Publié le 22/11/2009 à 23:15 par riskmanagerloictournez
Certains diront "enfin"! D'autres d'iront "plus tard était le mieux"! La norme ISO 31000 portant sur le management des risques transverse a été publiée.

Vous trouverez son résumé et la possibilité de la commander ici : http://www.iso.org/iso/fr/catalogue_detail.htm?csnumber=43170

Ce que je retiens de cet effort collectif:
1/ C'est une démarche intelligente car ce guide n'a pas vocation à uniformiser la pratique du Risk Management. En toute logique et pour garder un esprit de simple guide, elle n'a également pas vocation à déboucher sur une certification. Contrairement à l'ISO 27005 qui peut déboucher sur une certification et contre laquelle j'ai toujours dis qu'elle ne pouvait prétendre être du Risk Managment, la différence est là. Le Risk Management est une démarche face à un contexte. Les bases sont communes (identification, analyse, évaluation, traitement, communication). La façon de réaliser chaque étape est contextualisée et donc difficilement certifiable. L'ISO 27005 considère quant à elle que les risques sont très rationnels, très factuels, issus d'une rencontre "menaces/vulnérabilité". J'extrapolerai presque (pas) en disant que la 27005 est le fruit d'une logique de pures ingénieurs (en informatique), La 31000 illustre l'avancée qu'on vient de connaître ces années, la montée du management comme outils de l'épanouissement des hommes et de leurs propres outils, bien plus efficace à mon sens, quelque soit l'environnement.

2/ D'ailleurs, l'avantage de l'ISO 31000 est d'uniformiser la définition du Risk Management. A en lire le résumé, j'ai peur que la définition ne soit pas assez synthétique. Je n'ai pas encore lu la norme mais cela ne devrait tarder.

3/ L'ISO 31000 arrive un peu tard car des normes sur la gestion de risques spécifiques sont déjà parues (comme la 27005 dont il faut s'attendre à voir arriver les modifications). Mais elle annonce la multiplication de normes de gestion de risques spécifiques basées sur la démarche structurante de la 31000. Nous parlerons tous le même langage, et mon idéal de Direction RIsk Management avec des cellules pour chaque famille risques pourra enfin exister. Le Risk Management tranversale qui communique à l'extérieur de son service, à tous les experts des autres services, existe déjà. Maintenant, nous allons voir arriver une nouvelle ère : Celle où le Risk Management communique en son sein également, entre experts de risques spécifiques pour élever le niveau d'expertise et être plus autonome de managers moins sensibilisés et formés.

Je dois avouer être très heureux de voir apparaître cette norme qui renforce la reconnaissance de notre métier et qui ne fait que prouver le bon sens du Risk Management applicable à tout pour tout. Ce positionnement m'amène à comparer cette norme à l'ISO 9001.

ISO 9001 VS ISO 31000 : au prochain article quand j'aurai pu lire la 31000, même si j'ai déjà une idée, voire mon gagnant...

A vos guides!

Information Security Risk Manager

Publié le 30/08/2009 à 00:19 par riskmanagerloictournez
Bonjour à tous,


Objet: Profiter de la définition d'"Information Security Risk Manager" pour rappeler le positionnement du Risk Manager.





On peut lire de plus en plus couremment dans la presse professionnelle française le terme d'"Information Security Risk Manager".

Cette expression a pour but de faire référence à un métier, et non plus à une simple fonction attachée à un responsable Sécurité. Cette relative émancipation, du moins prise d'importance, n'est pas vide de sens. Au contraire, dire qu'il existe des personnes en charge du management des risques sur les Systèmes d'Information prouve ceci:
=> Le risque et la sécurité, deux soeurs mais pas deux jumelles,
=> Le risque ne vient pas se subsituer à la sécurité, au contraire, et comme toujours, le management des risques est au service des autres directions.

Il reste cependant une problématique de méthodologie, qui ne peut être résolu à la première lecture de ce titre:
=> Littéralement, traduire Information Security Risk Manager se traduirait Manager des risques de sécurité de l'information, soit que les risques sont ceux applicables à la sécurité et que la méthodologie de maîtrise des risques sera celle tirée de la sécurité, l'application de la norme ISO27005.
=> Mais le terme de Risk Manager fait référence à notre métier, celui qui consiste à appliquer de façon tranverse, et donc pour cela une méthodologie suffisemment simple et conceptuelle pour être appliquée à tout, l'Entreprise Risk Management. A la différence de l'ISO 27005, il n'est pas question d'identifier menace et vulnérabilité, de les multiplier pour former un risque pour enfin en estimer un impact, etc. Les experts métiers identifient un risque, un travail collaboratif permet d'identifier les vulnérabilités de l'existant face à ces risques, et enfin, le challenge des managers grâce aux résultats permet d'évaluer l'occurrence, l'impact et l'acceptabilité (bien plus simple selon moi).

Alors que fait l'Information Security Risk Manager? Doit il se soumettre à la sécurité et adopter une méthodologie qui se restreint davantage à des domaines très physiques, avec des menaces et des vulnérabilités facilement identifiables, omettant les parties plus immatérielles comme la qualité, les risques éthiques, sociaux, sociétaux, voire comptables et financières (l'évolution de la finance aujourd'hui peut en effet nous faire poser la question). A l'inverse, l'Information Security Risk Manager doit il prendre plus de hauteur et pratique l'ERM appliquable à tout type de risque mais avec moins de précision pour les risques techniques pour lesquels, connaître les menaces et les methodes d'attaques est important.


Quoiqu'il en soit, je pense que beaucoup de Risk Managers seront d'accord avec moi : l’important n’est pas de déterminer la mesure à utiliser mais de connaître les lacunes de la mesure choisie et d’être en mesure de compenser mentalement.

Personnellement, si je devais avoir à choisir entre les deux solutions d'application du métier d'Information Security Risk Management possible, je dirais qu'il y en a une troisième :
=> Le métier d'Information Security Risk Manager ne dépend pas du service Securité du SI mais d'une Direction Risque (si elle existe, ce que j'espère, ça facilite beaucoup de chose).
=> Dépendant de cette Direction, il doit appliquer la méthodologie adoptée dans la Politique de Management des Risques opérationnels : ERM
=> Mais en tant que spécialiste des SI (domaine qui demande une certaine connaissance des environnements, techniques et technologies), il doit être en mesure de faire le lien logique des résultats émis dans une étude de risques Sécurité ISO27005 et l'ERM (homogénéisation des grilles de résultats et consolidation des mesures à prendre).

En tant que Risk Manager, aujourd'hui Consultant en Sécurité des SI, il m'a parut important de faire cet article car mes deux casquettes me font voir les écarts et obstacles entre deux mondes qui tendent à ce rejoindre, dont résulte l'Information Security Risk Manager. Dans le cadre de mes missions, je travaille régulièrement auprès de DSSI et de RSSI qui, propriétaires de risques Sécurité, sentent la nécessité d'avoir un support sur le management des risques. Bien que l'ISO 27005 puisse leur servir d'outils, ils reconnaissent le besoin, pour une réelle efficacité, que soit appliqué de façon plus générale l'ERM. A l'inverse, au sein des DSI où l'ISO 27005 est appliquée et rodée, les Risk Managers sentiront le besoin que soit davantage appliqué l'ERM car tous les risques sur la gestion des SI ne lui remontent pas.

Cette situation se résolvera le jour où toutes les entreprises (grande PME et au-delà) disposeront d'un Risk Manager capable de supporter la gestion des risques de toutes les directions propriétaires et des les guider, digne d'un chef d'orchestre mettant fin à la cacophonie générale entre les directions matûres et les directions indécises et incertaines sur le sujet.

Les retours d'expérience sont les bienvenus!

ltournez

Dicton si vrai pour nous Risk Manager

Publié le 04/05/2009 à 12:00 par riskmanagerloictournez
Voici un dicton qui m'a tout de suite interpelé en tant que Risk Manager:

"Au pays des aveugles, les borgnes peuvent devenir Roi".

Ce dicton, je le comprends ainsi: A notre époque, nous naviguons à court terme, voire à si court terme qu'on peut dire à l'aveugle. Les Risk Managers ont pour méthode de faire, volontairement, "les borgnes" à qui les experts métiers décrivent leurs environnements et évènements pour analyser les risques. De ce rôle, les Risk Managers arrivent alors à tirer le meilleur et finissent par être les éclaireurs collectifs.

C'est si vrai que ce dicton est celui qui résume le mieux jusqu'à présent ce pourquoi je fais ce métier et la tendance des temps à venir.

Introduction de mon mémoire de fin d'étude sur les Plans de Continuité d'Activité

Publié le 13/11/2008 à 12:00 par riskmanagerloictournez
Introduction

Les crises et désastres sont des évènements si incertains, perçus comme propre aux autres et loin de nous même, qu’on pourrait presque parler de ceux-ci comme on parle d’une légende, d’une fable, ou d’un compte de fée quand ils se finissent bien. Mais si la fin est aléatoire, le début, quant à lui, est bien connu : Il était une fois…Il était une fois un villageois qui appelle un agriculteur pour lui demander du travail. L’agriculteur lui demande de faire un état de ses compétences. Le villageois lui réplique alors ceci : « Je suis capable de dormir sur mes deux oreilles quand la tempête souffle ». L’agriculteur, surpris, ne comprend pas pourquoi ce dernier lui parle de tempêtes alors que la région n’en a connu que très rarement. Cela ne l’empêchera pas de l’embaucher pour un essai. La première semaine passée, alors que l’agriculteur et sa femme dorment, une tempête comme rarement vue se lève. Paniqués, ils sortent pour rentrer le bétail, la voiture et l’outillage. Mais une fois dehors, ils commencent par croire au vol de leur voiture qui a disparu. Ils se dirigent vers le bétail et voient l’enclos vide et ouvert. Le sentiment d’être ruinés les envahis et ils partent vérifier l’étable. Le paysan y est allongé sur la paille et dort paisiblement, le bétail, la voiture et l’outillage sont rentrés et rangés, ainsi que les trappes de l’étable fermées et renforcées. Ils rentrent chez eux, rassurés, et voient sur la table deux verres d’eau qui les attendent, une attention du paysan. L’agriculteur s’assoie pour boire, se remet de ses émotions et se souvient de la phrase du paysan : « Je suis capable de dormir sur mes deux oreilles quand la tempête souffle ». Le paysan était capable de se préparer et d’anticiper pendant les temps calmes des crises qu’il pouvait alors surmonter sereinement.

La vertu et la compétence d’anticipation des situations plus ou moins prévisibles qui nuiraient aux objectifs de l’organisme, ressortent comme points communs entre cette histoire et le risk management. Mais si la première devait être associée à une discipline privilégiée, ce serait sans nul doute la gestion de la continuité d’activité, qui est au risk management ce qu’une pierre précieuse est à un bijou : Pièce différente mais incrustée, difficile à tailler dont le détail donne une valeur exponentielle à la pierre et par répercussion à l’ensemble, demande une expertise pour en connaître la réelle valeur, et enfin, elle est la partie qui attire le plus le regard des personnes intéressées. Pourquoi avoir choisi le thème des Plans de Continuité d’Activité (PCA) pour un mémoire de management spécialisé ? Il est vrai que le sujet n’est pas aisé à aborder et à traiter, beaucoup ont essayé.

Les PCA sont actuellement, avant tout, une interrogation professionnelle importante, raison pour laquelle, si dans une entreprise comme GXXXX, des réponses managériales doivent être apportées sur le sujet, il sera nécessaire de le présenter sous tous ses aspects théoriques, historiques, juridiques, financiers, et pratiques (I). Le manque de connaissance et d’application pratique constaté dans le monde professionnel, nous oblige à nous interroger sur le risque d’avoir un PCA inefficace. Ce risque (soit l’incertitude par rapport au résultat final pesant sur les objectifs et la continuité des activités) est inacceptable car il impacte directement la continuité. Nous identifierons et analyserons en lien avec ce contexte, une problématique sous l’angle du risk management, avec toutes les contraintes que cela implique, pour identifier les risques les plus critiques pouvant remettre en cause une gestion de la continuité optimum (II). Nous pourrons ainsi recommander à l’entreprise GXXXX, mais aussi à d’autres, des solutions les plus optimales possibles pour les résorber (III).

Mon analyse sur un contexte de plus en plus demandeur de PCA

Publié le 13/11/2008 à 12:00 par riskmanagerloictournez
I- Un contexte demandeur de gestion de la continuité d’activité

Le sujet des PCA est à un niveau de maturité tel qu’il est nécessaire de faire aujourd’hui un point sur son évolution théorique (A), pratique (B), et dans les conditions réelles (C).

A. Une théorie plus claire portée par le risk management.

Côté théorie, le PCA est une discipline nouvelle qui se construit (1), avec ses avantages, objectifs et finalités (2), progressant avec et par le risk management (3).

1. Présentation du Plan de Continuité d’Activité

1.1 L’acronyme PCA désigne le Plan de Continuité d’Activité, appelé en anglais, BCP, Business Continuity Plan*, c'est-à-dire un ensemble de dispositifs planifiés conçus puis mis en place pour assurer, selon divers scénarios de crise, et après manifestation de ces dysfonctionnements graves dans le déroulement des processus critiques de l’entreprise, la continuité de ces processus, dans des conditions de volumes, de délais et de qualité, compatibles avec les engagements juridiques, professionnels et économiques de l’entreprise . Pour comprendre ce qu’est un PCA, il faut se pencher plus longuement sur deux éléments clés encore non définis : « les processus critiques » et « les scénarios de crise ».

1.2 Avant d’en donner une définition individuelle, ces expressions ainsi formulées pour cadrer la gestion de la continuité d’activité, sont la preuve que la discipline est encore en construction et que tout manager devant ou voulant améliorer ce processus dans son entreprise, devra en être conscient :
1.2.1 Le glossaire du BCI, Business Continuity Institute , décrit les activités ou processus critiques comme supportant ou étant des activités sans lesquelles l’organisation serait rapidement incapable d’achever ses objectifs commerciaux, les produits et services. L’Institut précise bien que ce sont sur ces activités que la gestion de la continuité doit être centrée. En réalité, la prise en compte des risques liés au management opérationnel de la continuité d’activité montre qu’il faut parler de « fonctions les plus urgentes » sachant que toutes les fonctions interagissent pour le succès commercial de l’entreprise et pourraient très vite être perçues comme critiques et que les « jugés non critiques » peuvent se démobiliser, se sentant inutiles.
1.2.2 Si on ne parle que de « scénario de crise », les entreprises manquent de repère car tous ne peuvent être traités. Doit on traiter les plus petits et courants ou l’inverse ? Il est conseillé par certains experts anglais de prendre en compte le « Maximum Survivable Incident » ou « Incident Maximum Surmontable » qui est le plus sérieux et plus vaste désastre que les organisations souhaitent combattre au-delà duquel aucune stratégie prédéterminée n’est a priori appropriée. Dépenser plus d’efforts sur une tentative de récupération d’une catastrophe supérieure au MSI de l’organisation est futile et pourrait signifier un manque d’efficience généralisée. Au-delà même du MSI, il y a des limites humaines : vouloir reprendre rapidement l’activité après un évènement plus impactant peut paraître inhumain, surtout lorsque de nombreuses vies ont été perdues. Des limites organisationnelles s’imposent également : il y a toujours une autorité supérieure pour gérer les désastres dépassant ce MSI de l’organisation. Enfin, au-delà du MSI toujours, votre plan ne répondra plus aux finalités, objectif et avantages alloués normalement.

2. Objectif, finalités et avantages du PCA

2.1 Le PCA est utilisé dans un objectif théorique, celui de satisfaire la « Promesse Client » que sont les engagements signés par l’entreprise auprès de ses clients. Le cadre dépasse l’unique problématique du système d’information car cette satisfaction passe par tous les éléments qui interviennent dans le processus métier. On voit bien ici qu’à la différence des PCA d’il y a une dizaine d’années pour lesquels les objectifs étaient fixés par les Systèmes d’Information (SI), ces derniers ne sont aujourd’hui que le support des objectifs métier du PCA.
Les dirigeants doivent avoir conscience cependant, qu’en réalité, il s’agit même de la satisfaction de la « Promesse Activité », soit tous les engagements pris par l’entreprise auprès de l’ensemble de ses partenaires et parties prenantes dès la mise en route de sa production : Investisseurs, organismes financiers, assurances, opinion publique, le personnel, les fournisseurs, les prestataires, et parmi ceux-ci, les clients. Cet objectif atteint, l’entreprise pourra atteindre les trois finalités suivantes :

2.2 Première grande finalité, la plus connue et visible, au niveau le plus opérationnel : Garantir la survie de l’entreprise en minimisant les impacts financiers, juridiques et d’image d’un sinistre grave. On peut décomposer cette finalité en deux grandes garanties majeures : Garantir la maîtrise du savoir faire de l’entreprise de manière pérenne en protégeant ce savoir-faire (devoir de mémoire) et garantir la continuité de la production en acceptant les baisses de productivité en cas de crise. En effet, un plan qui n’est pas capable de « garantir » cette survie, perd sa raison d’être. Le terme « garantir » est utilisé à dessein car ce qui est recherché est la certitude de fonctionnement et non pas une hypothétique possibilité de survie. In fine, pèse sur le PCA une obligation de résultat.
Mais sans attendre le sinistre, le PCA a une finalité en temps calme : Favoriser la conquête de marchés en rassurant les clients sur la sécurité de leurs intérêts en cas de sinistre. En tant qu’entreprise fournisseur, votre client aime se savoir en sécurité avec vous. Vos problématiques sont les siennes, votre continuité d’activité est aussi indirectement la sienne. Bien heureusement, les sinistres critiques n’arrivant pas tous les jours, il n’y a donc pas pléthore d’occasions pour faire ses preuves. Votre PCA est la seule vitrine à disposition pour les rassurer.

2.3 Bien réalisé, le PCA a de multiples avantages : 1/ Diffusion dans l’entreprise de la notion de hiérarchisation des activités, 2/ Gain de productivité du fait que les processus les moins prioritaires seront relégués comme tâches accessoires, 3/ Amélioration des moyens de production puisqu’ils sont fiabilisés dans le cadre du PCA (redondance des équipements critiques, ajustement des contrats de maintenance etc.), et 4/ intégration par les équipes d’une constante réflexion sur les processus métier, leur fragilité et leur exposition aux risques. On retrouve ici les mêmes avantages que le risk management, deux disciplines qui ont un lien fonctionnel fort.



3. Une relation constructive entre risk management et PCA

3.1 Un article du magazine La Tribune de l’assurance de Janvier 2008, publie une étude interrogeant un panel de 100 membres de l’AMRAE diplômés de l’IMR parmi lesquels plus de 80% pensent que les PCA et gestion de crises font partie des missions courantes du Risk Manager.

3.2 Voici un tableau permettant de différencier les deux disciplines tout en montrant leur complémentarité :

Méthodes clés:
Risk management = Analyse des risques
Business Continuity Management = Analyse d’Impacts

Paramètres clés:
Risk Management = Impact et probabilité
Business Continuity Management = Impact et Temps

Type d’Incident:
Risk Management = Tout type d’évènements classés par nature de risques
Business Continuity Management = Evènements causant interruption

Ampleur de l’évènement:
Risk Management = Toute taille (coûts) d’évènement bien que souvent segmentés
Business Continuity Management = Stratégie prévue pour faire face à des incidents menaçant la survie de l’organisation, mais peut gérer n’importe quelle taille d’incidents.

Cadre:
Risk Management = Essentiellement sur les risques portant sur l’atteinte des objectifs du core-business
Business Continuity Management = Se concentre principalement sur la gestion des incidents dépassant la plupart des compétences de base de l’entreprise.

Intensité:
Risk Management = Tous, quelque soit l’intensité
Business Continuity Management = Evènements rapides ou soudains

Source: “Good practices Guidelines 2008” Business Continuity Institute.


3.3 Le PCA est un outil de gestion des risques résiduels ce qui fait sa complémentarité avec le risk management. Mais il s’inscrit également dans la continuité de la démarche risk management. Côté technique, il procède de la même logique : Identification => Evaluation => Hiérarchisation => Traitement => Correction. Côté perception, risk management et PCA sont perçus comme une seule et même discipline. Une étude auprès de dirigeants d’entreprise fait ressortir qu’ils sont 45% à penser « continuité d’activité » pour la mise en place d’une structure dédiée à la gestion des risques. Enfin, côté réalisation, le PCA permet lui aussi de pallier à des risques dans des situations prévues, planifiées, et nécessitant un arrêt provisoire des activités, comme un déménagement nécessitant un transfert de sites. Il améliore la fluidité de réalisation des objectifs puisque les processus métier auront été fiabilisés , s’inscrivant ainsi bel et bien dans la continuité du risk management.
3.4 Nous ne pouvons pas dire cependant que risk management et PCA sont une et même discipline, ou encore que le Risk Manager doit automatiquement être en charge de son application. Tout au moins, il doit être un support méthodologique et avertisseur pour l’aide à la prise de décision. La responsabilité du PCA peut très bien s’inscrire également dans les missions d’un département Sécurité/Sûreté ou Production du fait de leur connaissance pointue d’un domaine et leur proximité avec les zones critiques.

Nous allons maintenant découvrir quelles sont les réalités techniques, juridiques et économiques qui ont fait des PCA une réelle pratique à part entière.


B. Des réalités techniques, juridiques et économiques favorables pour son développement

Le PCA est mieux appréhendé techniquement (1) ce qui permet de répondre à des problématiques de gouvernance responsable qui en font un sujet stratégique actuel (2), d’autant plus depuis la prise de conscience créée par les évènements du 11 septembre 2001 (3).

1. PCA, technique complexe mieux appréhendée

1.1 Le premier moyen de développement technique des PCA est le risk management par sa démarche méthodique d’anticipation. En effet, à l’origine des mesures assurant la continuité d’activité, on retrouve des techniques de gestion des risques. Dès le 16ème siècle, les contrats d’assurance « dommage aux biens » permettaient un transfert du risque financier lié à la perte de ses outils de travail et du même coup, vu la taille des organisations à cette époque, du risque de ne pas reprendre les activités. Cette même logique de transfert est étendue au 19ème siècle avec l’assurance perte d’exploitation. Fin du 20ème siècle, les problématiques technologiques et les interdépendances informatiques ont amplifié les coûts liés à une rupture de service. Le transfert à l’assurance est trop long et ne suffit plus, on pense risque financier mais aussi risque opérationnel. Apparaissent alors les DRP (Disaster Recovery Plan) ou Plan de récupération, Plan de Secours Informatique*… Soit les plans de continuité actuels orientés sur des aspects techniques. Début 21ème siècle, le dérèglement climatique et l’émancipation des individus rendent nécessaire l’acceptation du développement durable et le déni de la doctrine du risque zéro . Le PCA prend forme et devient une technique de gestion des risques à part entière en faisant l’objet d’un Système de Management de la Continuité d’Activité (SMCA).

1.2 Les entreprises bénéficient aujourd’hui de nombreux référentiels techniques, qui sont le moyen pour les aider à lister les points clés et à hiérarchiser les priorités. Parmi ceux-ci, les plus couramment utilisés sont les suivants : BS25999, ITIL-ITSCM et DRIi, ISO 27001. Elles ont chacune leur particularité et domaine d’application. Par exemple, le standard international ITIL : « Information Technology Infrastructure Library » est un ensemble de bonnes pratiques pour la gestion d’un système d’information, édictées par l’Office public britannique du Commerce. ITIL ne certifie pas des organisations mais des individus (3 niveaux à la suite de tests réalisés concluant des formations de plusieurs jours par des cabinets accrédités). Dans ce registre des certifications individuelles, la plus connue et la plus répandue parmi les praticiens est celle de la DRIi, Disaster Recovery Institute international avec 5 niveaux allant de ABCP (Associate) à MBCP (Master), plus orientée opérations. ISO 27001 lié à ISO 27002 , publiées en 2005, consacre son chapitre 10 sur le « Business Continuity Management » portant sur les Systèmes de Management de la Sécurité de l’Information. Sa référence au plan de continuité d’activité se fait dans la partie « Do » sur SMSI, « détection et réaction rapide aux incidents », pour une part donc mineure.

1.3 Le Business Continuity Institute a produit en 2007 un manuel intitulé « Good practices Guidelines 2008 » basées sur les conseils du BS25999-1 et 2. La notion de cycle de vie, de système de management, de programme, de charte, et le détail des différents plans attachés au PCA Chef d’Orchestre, y sont. Pas uniquement informatique, ce référentiel technique anglais est très certainement le plus complet et le plus large. L’avantage est que, si le BS25999 est payant, BCI met le manuel en téléchargement gratuit sur Internet , permettant à tous d’y avoir accès.

1.4 Ce rapide panorama nous permet d’illustrer le retard français. Il n’existe aucune norme impliquant un niveau de fiabilité (attendu fin 2008-2009 selon Bruno Hamon d’Exedis, président du Groupe de travail Afnor sur le PCA). Cependant, en 2006, l’Afnor a élaboré des bonnes pratiques également en matière de plan de continuité de services et de reprise des activités des Systèmes d’Information (Afnor BP Z74-700). Cinq grands thèmes sont traités pour permettre aux organismes de se construire un PCA optimal : 1) Remontées d’incidents, évaluation et alerte, 2) Cellule de gestion de Crise, 3) Plan de continuité des opérations, 4) Plan de continuité informatique et télécoms, 5) Maintenance en condition opérationnelle. Elle suit sans originalité les références connues dépassant le niveau des exigences règlementaires ci-dessous.

2. PCA, réponse à des réalités juridiques en faveur d’une meilleure gouvernance d’entreprise

2.1 L’idée de gouvernance d’entreprise est née dans le cadre d’un Etat en peine de contrôle et de régulation de l’économie. Dans le cadre des services publics qui ont une obligation par nature de garantir la continuité d’activité, cette problématique PCA/Gouvernance, n’est pas posée. La réglementation est le moyen pour obliger les entreprises à améliorer leur transparence en mettant en place une gouvernance d’entreprise responsable. Cette gouvernance progresse donc par nature, sous l’impulsion d’obligations règlementaires. Or, les réglementations restent localisées et sectorisées. Pour les PCA, elles sont essentiellement orientées sur le secteur bancaire très sensible à ce sujet via l’importance de l’immatériel qu’il véhicule et des enjeux économiques qui y sont liés. Bâle II (Europe) et CRBF 97-02 (France) en sont les moteurs.

2.2 Bâle II rend obligatoire auprès des banques européennes la mise en place d’un PCA dans son principe 7 pour garantir leur aptitude à agir en tant qu’entreprises prospères et à minimiser les pertes en cas d’interruption grave et sévère des activités. Cette directive met l’accent, sans exclusivité, sur les systèmes d’information. On retiendra le fait que le PCA doit prendre en compte les différents types de scénarios plausibles face auxquels la banque peut être vulnérable, et proportionnés à la taille et à la complexité des opérations de la banque (art 42). Elle oblige à identifier les processus métiers critiques et à prendre en compte la dépendance à l’égard de fournisseurs externes ou d’autres tiers pour lesquels la reprise rapide du service serait la plus essentielle (art 43). Dans ce même article, il est mentionné que les sites de récupération doivent être à une distance minimum adéquate du site d’origine. Elle oblige enfin à réviser périodiquement les documents et dispositifs en place de sortes qu’ils soient conformes aux stratégies relatives à l’exploitation et aux activités actuelles de la banque (art 44). La banque devra les tester périodiquement « pour garantir que la banque sera apte à exécuter les plans en cas, improbable, de grave interruption ». On ne sait rien de plus sur la forme et le fond.

2.3 Le Comité de la Règlementation Bancaire et Financière (CRBF) a défini dans le CRBF 97-02 le PCA comme un « ensemble de mesures visant à assurer, selon divers scénarios de crise, y compris face à des chocs extrêmes, le maintien, le cas échéant de façon temporaire, selon le mode dégradé, des prestations de services essentielles de l’entreprise puis la reprise planifiée des activités ». Il a été modifié en 2007 dont son article 14 qui ne traitait que des plans de secours informatiques. Dorénavant, l’organe exécutif est tenu d’informer au moins une fois par an, l’organe délibérant, le cas échéant le comité d’audit sur les mesures prises pour assurer la continuité de l’activité et l’appréciation portée sur l’efficacité des dispositifs (art 39). L’efficacité des plans doit être appréciée régulièrement (art 14) et une information spécifique des conseils d’administration sur les mesures prises en la matière doit être faite (complément art 39). Ces mesures propres au bancaire doivent être imposée à leur fournisseur.

2.4 Parmi les autres textes qui poussent à faire un PCA, on retrouve la LSF, Loi sur la Sécurité Financière de 2003. Elle stipule aux articles L225-37 et L225-68 que le président du conseil d’administration et le président du conseil de surveillance doivent rendre « compte, dans un rapport à l’assemblée générale joint au rapport général des conditions de préparation et d’organisation des travaux du conseil ainsi que des procédures de contrôle interne mises en place par la société ». L’amélioration de l’information se fait donc par formalisme. Le Sarbanes Oxley Act de 2002 rend obligatoire indirectement pour les entreprises côtés au NYSE de mettre en place ce type d’outil en stipulant qu’il faut d’une façon générale mettre en œuvre les solutions et processus permettant d’éviter une situation de faillite financière. Solvency II étend l’obligation aux assurances et mutuelles. Elle est publiée par l’association européenne des organismes de contrôle des assureurs. Elle est aux assureurs ce que Bâle II est aux banquiers. La démarche se veut être identique, tout en prenant en compte une palette plus large de risques. Elle s’articule en 3 piliers comme Bâle II.

3. PCA, résultat d’une prise de conscience mesurée depuis le 11 septembre 2001.

3.1 Quasiment tous les ans depuis 2000 frappe une calamité à la suite desquelles on s’aperçoit toujours plus de la réduction croissante de l’Espace-temps renforçant les interdépendances. Dans ce contexte, les effets d’une crise se répandent plus vite et plus loin. Les entreprises doivent être imaginatives mais surtout réactives face à cela, ce pourquoi les partenaires d’une entreprise auront de façon croissante le souci de demander des garanties toujours plus fortes sur les moyens mis en place.

3.2 L'incendie du Crédit Lyonnais en 1996, la grippe aviaire, ou encore les attentats du 11 septembre 2001 sont emblématiques de ce constat. Outre les mesures d'ordre sécuritaire en découlant directement ou indirectement, le 11 septembre a mis l'accent sur la nécessité de mettre en place des plans de continuité d'activité dépassant les systèmes d’information et concernant la direction générale. A New York, seules les entreprises munies d'un plan de continuité d'activité efficient ont pu limiter les pertes dues à cette catastrophe. Plus généralement, Contingency Planning Research considère que près d’une entreprise sur deux disparaît après un arrêt de 72 heures. Gartner Group mentionne quant à lui que 70% des entreprises qui vivent un désastre et qui n’ont pas un plan de continuité, se retrouveront en cessation d’activité dans les deux ans qui suivent .

3.3 Faire une analyse post mortem des comportements des gestionnaires de la continuité d’activité au moment des attentats du 11 septembre nous apporte d’importantes leçons. Côté préparation, une étude réalisée par le groupe de consultants McKinsey parue dans le Financial Times en Grande Bretagne, révèle que beaucoup de PCA ont failli en raison de scénarios trop limités géographiquement aux locaux et n’envisageaient pas les attaques sur une zone plus étendues comme l’immeuble. Plus grave, les plans d’évacuation n’étaient pas assez pratiqués et efficaces. Côté procédures, il ressort d’enquêtes que les plans les plus détaillés étaient les moins efficaces car trop longs et abandonnés avant la fin de leur application. Les professionnels s’en référaient à leurs compétences et les responsables PCA n’ont eu pour rôle que de leur apporter les ressources disponibles pour l’occasion. Côté planification, beaucoup d’employés clés pour l’application du plan de récupération, n’avaient pas pris le document avec eux à leur domicile et ont dû compter sur les personnes chargées du PCA pour leur en fournir une copie. Les supérieurs d’une entreprise envoyaient même leurs employées au mauvais lieu ou une autre voyait son centre de crise non opérationnel car dans les bâtiments détruits. Côté résistance émotionnelle, une autre compagnie découvrait que ses employées clés n’étaient pas capables de tenir la pression et faisaient d’inefficaces leaders pendant la crise. Côté communication, on constatera l’inaccessibilité des télécoms pendant les premières heures, les sites Internet en travaux pendant plusieurs jours, ou encore la communication aux fournisseurs privilégiée à la communication aux clients ; autant de points critiques pour la survie de l’entreprise.

3.4 Qu’en est il aujourd’hui ? Un article de Contingency Planning en date du 8 octobre 2008 présente une étude qui fait ressortir ce manque : 20% des entreprises ayant un PCA ne l’ont jamais testé. Selon une publication de l’assureur FMGlobal publiée en 2006, pour les Courtiers, 2 à 6% seulement de leurs clients auraient des PCA biens ou partiellement développés.

Nous en arrivons à faire le constat qu’il persiste un manque d’application dans les entreprises.

C. Mais un manque d’application dans les entreprises

Dans ces conditions, identifions les contraintes (1) et obstacles (2) pour sa mise en place de façon générale, et tournons nous vers Gemalto pour voir concrètement les risques et difficultés à surmonter (3).

1. Des contraintes pour l’entreprise

1.1 On peut commencer par parler de contrainte dès lors que la démarche n’est pas le fruit d’une démarche proactive de la Direction. On peut identifier trois principaux demandeurs de PCA, extérieurs à l’entreprise et en dehors des autorités règlementaires. Tout d’abord les clients pour qui l’objectif est de s’assurer qu’aucun des services clés consommés ne peut être interrompu brutalement. Viennent ensuite les fonds d’investissements qui détiennent aujourd’hui au moins 40% des actions du CAC40 et qui, d’origine majoritairement anglo-saxonne, ont cette culture de la gestion de la continuité. L’objectif pour eux est de limiter l’exposition de leurs portefeuilles aux risques de catastrophes majeures. Enfin les actionnaires exigent aussi la mise en place de PCA effectifs car ils veulent limiter l’exposition de l’entreprise aux mêmes risques et de contrôler les coûts induits de la mise en place du PCA. Ces contraintes imposées par des shareholders et stakeholders puissants dans la gouvernance de l’entreprise, sont la raison pour laquelle un ensemble de bonnes pratiques sont produites pour aller au-delà des obligations règlementaires existantes.

1.2 La gestion de la continuité des activités est très contraignante car elle impacte en profondeur l’entreprise. La première contrainte identifiable concerne la standardisation des moyens de production entre les sites de l’entreprise pour permettre l’interopérabilité entre eux. Cependant, ces sites n’ont pas le même environnement ni les mêmes employés (qualifications, formations et cultures différentes) ou encore les mêmes contraintes techniques de production. Dans le temps, les évolutions technologiques peuvent être rapides dans certains secteurs, ce qui oblige à une réactivité et des fonds supplémentaires. Les solutions sont déjà difficiles à trouver, elles sont en plus coûteuses car elles réclament rapidement des équipements, voire des infrastructures. De plus, il est difficile de calculer leur retour sur investissement. Il est en effet difficile d’estimer le coût que peut représenter une interruption. D’une part parce que les réels coûts que sont les coûts indirects sont trop nombreux (remise en route, perte sèche dans les salaires, gaspillage de matériaux, pénalités de retard, impacts financiers liés à la perte d’image…). D’autre part, parce que ce travail d’estimation demanderait trop de ressources et de temps que peu de managers et d’entreprises ont envie de prendre en charge.

1.3 Les coûts supplémentaires des PCA et des ressources attachées liés à leur sécurité, disponibilité ou encore performance sont bien plus appréhendables que l’éventualité d’une attaque terroriste. Ce sont des frais exorbitants qui viennent en premier à l’esprit du décideur : Formations du personnel, recours à des experts externes, simulations coûteuses et paralysantes… tout ça pour pallier à des risques sur lesquels le décideur n’en contrôle pas la probabilité d’occurrence.

2. Des obstacles au sein de l’entreprise

2.1 Si le Risk Manager décide de prendre les devants et de faire accepter la problématique par l’entreprise, malgré les contraintes, celui-ci devra aussi faire face à certains obstacles internes. Le premier est la culture d’entreprise. Le PCA fait appel à une organisation quasi « militaire », procédurière et chronométrée. Cette façon de fonctionner peut s’opposer à celle de l’entreprise en fonction de son type d’organisation (Entreprise de type innovatrice ou Start-up). La culture nationale a aussi de l’importance : les recrutements à l’anglo-saxonne recherchent les capacités d’adaptation et de flexibilité du candidat donnant des dirigeants qui savent s’entourer et se faire accompagner par des coachs ou conseillés pour évoluer. En France, à l’inverse, la culture valorise davantage les diplômes et l’expertise, et ne pas avoir réponse à tout est perçu comme un aveu de faiblesse. Cette intelligence émotionnelle*, dont la résistance au stress est aussi une des résultantes, est un atout mis en avant dans le premier cas, elle est occultée dans le second. Partant de là, la culture des entreprises françaises (avec des managers français) utilise la technique de « la tortue romaine », tout est fermée, les boucliers affichent le symbole de la réussite, rien d’affaiblissant ne doit y entrer, notamment la problématique PCA.

2.2 Viennent donc les obstacles côté Dirigeants de l’entreprise. Ce que nous appelons « leur solitude dans leur rationalité » est analysée par Vincent Lenhardt, docteur en psychologie, spécialisé dans le développement de l’intelligence. Ils ne peuvent partager certaines informations. Plus ils ont besoin, plus ils se sentent fragiles et moins ils osent demander de l’aide. Plus les gens sont proches d’eux, plus ils doivent donc se cacher d’eux. Seuls, ils ne peuvent qu’avoir recours à leur rationalité pour décider. Or, rationnellement, les dirigeants préfèreront ne pas creuser une trésorerie déjà bien grignotée par une concurrence agressive et faire confiance au travail de leurs managers pour gérer des situations critiques. Ils considèrent alors que les risques les plus critiques sont plus générés par une mauvaise conception de produit, erreurs marketing, ou mauvaise gestion financière, que de désastres improbables extérieurs à leurs activités.

2.3 Les autres obstacles identifiés proviennent des autres filières métiers. Le fonctionnement en silo d’un tel projet implique leur mobilisation. Or chacune tient à garder son indépendance face à des risques dont on a du mal à définir la propriété et pour lesquels il faudrait avouer des faiblesses. Pour caricaturer, si vous dites que le décès d’une personne clé de l’entreprise est un problème important pour la continuité d’activité, le HSE Manager rétorquera que non, c’est une problématique HSE, son utilité en dépend. Cette réaction est également problématique lors de l’analyse d’impact où chacune aura tendance à affirmer que leur activité revêt un caractère particulièrement stratégique. Autre difficulté, que les managers des autres fonctions transverses vous perçoivent comme une activité avec des centres de coûts minimum dont l’objectif est, de fait, d’obtenir les faveurs des clients et des autorités soucieuses de la bonne gestion des risques de l’entreprise, en utilisant leur centre de coût. Le Risk Manager se verra confronter à une mise sous quarantaine ou langue de bois le temps d’y voir plus clair. L’engagement de la Direction devient indispensable dans une telle situation. Enfin, les services plus administratifs ne voient pas toujours les bénéfices concrets d’une telle démarche et que l’argent mobilisé pour les solutions de secours n’est pas prioritaire.

2.4 Dans le cadre d’un Groupe multi sites, les managers locaux craindront d’une part une surcharge de travail pour mettre en place des mesures dont ils n’ont aucune prise et d’autre part le discrédit implicite de leur travail avec l’anéantissement des efforts faits jusqu’à présent.

Ce ne sont pas des méthodes qui changeront ces comportements et Gemalto en fait la preuve.

3. Cas pratique avec GXXXX
[Confidentiel]

Les Plans de Continuité d'Activité: Une problématique complexe

Publié le 13/11/2008 à 12:00 par riskmanagerloictournez
II. Une problématique de risk management complexe pour GXXXX

[confidentiel]

A. Identification du problème

1.
[confidentiel]
2.
[confidentiel]

Problématique : « Risk Manager : Quelle démarche utile adopter pour inscrire un plan de continuité d’activité optimal au cœur de votre entreprise ? Cas d’un Groupe divisionnalisé multi-sites ».


3. Caractéristiques du problème à résoudre

3.1 L’objectif personnel de ces travaux est académique, consistant à appliquer des connaissances de management spécialisé en gestion des risques pour résoudre une problématique quant à elle professionnelle. Fondamentalement, il s’agit de travaux professionnels et la résolution ne prendra donc pas la même forme qu’une résolution académique et théorique. Pour chaque risque identifié et de facto jugé inacceptable dans le cadre de ces travaux, sera adressé des mesures de prévention - protection pour des coûts et délais estimés quant cela est possible.

3.2 Cette caractéristique de la problématique ne lui vaut pas d’être détachée de tout débat d’idées s’inscrivant eux aussi dans des mondes professionnels diverses (risk management, juridique, assurance, informatique, continuité d’activité). Ces idées sont inscrites au travers d’une littérature plus ou moins abondante en fonction de la culture d’appartenance. En France persiste un manque de structure de la communauté professionnelle (consultants et spécialistes). La seule littérature trouvée est celle de professionnels d’autres métiers, en majorité des Systèmes d’Information. Cependant, le CCA, Club de la Continuité d’Activité s’est créé en octobre 2006 pour tenter de faire émerger à la façon du Global Continuity, Continuity Forum ou Contingency planning & Management , un réseau d’échange d’informations entre professionnels et étudiants sur la continuité d’activité en France. Mais leur mission n’est pas facile dans un contexte où le sujet est peu abordé dans les écoles et cursus universitaires, tout au plus dans une dizaine de masters qui le survolent. On notera également à regret le manque d’effort de sensibilisation des pouvoirs publics . Sans étonnement donc, la grande majorité de la littérature sur le sujet est d’origine anglo-saxonne.

3.3 Le débat d’idées porte essentiellement sur l’acceptation des PCA comme globaux ou spécifiquement axés sur les systèmes d’information qu’on retrouve à travers des débats de structuration des plans entre eux.

3.3.1 D’un côté, nous avons une vision plutôt française arrêtée à celle du PCA assurant la pérennité de l’entreprise grâce à celle du SI. Elle implique la structuration suivante du plan : PCA = Plan de Continuité Opérationnelle* + Plan de Continuité Informatique*. Le PCO planifie la gestion organisationnelle impactée par la rupture de services, pilotée par la Cellule de Crise. Le PCI coordonne quant à lui les aspects techniques. Au côté du PCA assurant une continuité sans rupture, vient le PRA, Plan de Reprise d’Activité*, pour les cas où il y a effectivement rupture.
A l’inverse, la vision plutôt anglo-saxonne, moins procédurière, met moins en avant la gestion de la continuité informatique dans sa structure. Le BCP, Business Continuité Plan*, organise les dispositifs de continuité d’activité pour coordonner le déclenchement et l’application des ERP (Emergency Response Plan ou Plan de Réponse d’Urgence*), Incident Management Plan, DRP (Disaster Recovery Plan ou Plan de Récupération) et Resumption Plan*. L’ERP s’inscrit dans la logique du BCP mais il est réservé aux premiers secours. Il consiste donc à éviter que l’incident ne se propage à d’autres personnes, capitaux et données, quelque soit sa nature. Une fois maîtrisé en interne, vient le déclenchement de l’organisation de crise (Incident Management Plan) pour assurer qu’il n’y ait pas de propagation à l’extérieur de l’entreprise et planifier une stratégie de récupération à l’aide des outils à leur disposition (DRP) et de reprise des activité (Resumption plan). Le terme de Contingency Plan s’intercale aussi dans certaines lectures. Sa logique est inverse au BCP. L’objectif est pour lui de se préparer selon des éventualités définis en y apportant des réponses techniques, alors que le BCP fournis des réponses non exclusivement techniques pour se préparer à des éventualités inconnus. Nous associons donc plus le contingency plan au DRP, qui consiste à déployer dans un domaine restreint en fonction de scénarios identifiés, des dispositifs, souvent techniques, pour récupérer l’activité.

3.3.2 Une querelle de chapelle oppose la vision du PCA/BCP devant être central avec celle où il doit y avoir plusieurs PCA/BCP par activités critiques, par sites, ou par branche métier en fonction des caractéristiques de l’activité de l’entreprise et de son organisation. La seconde vision revient à parler de PCA technique de nouveau, nous revenons sur le même problème. Nous estimons que pour éviter le « trop de papiers », il est préférable de ne faire qu’un document central, PCA/BCP fidèle à la vision anglo-saxonne. En revanche, la répartition des DRP ou Contingency Plans se fera en fonction, en effet, des critères particuliers et propres à chaque entreprise.

3.3.3 Les efforts du CCA se font sentir dans notre sens à travers le premier ouvrage français présenté comme le plus complet en la matière, publié en juillet 2008. Il n’est cependant pas suffisamment complet à notre sens. On ne trouve pas de définition réellement opérationnelle des termes « activités critiques » ou « scénario de crise » comme nous avons pu en expliquer les enjeux en 1.2 et 1.3 page 4 et 5. Mais surtout, ce qui nous a frappé, c’est le manque de réalisme de l’objectif du PCA : « réduire à un niveau acceptable les conséquences d’un sinistre en mettant en œuvre des procédures prédéfinies ». Où est la « Promesse Client » voire la « Promesse Activité » ? Elle n’apparaît pas. Nous incluons en plus, par rapport à leur définition, des acteurs, ce qui est essentiel pour les impliquer, puis d’autres solutions que des procédures, dont la résilience et la reliance. Enfin, nous cadrons par-dessus tout l’objectif, plus compréhensible, mémorisable et atteignable. In fine, cela n’est pas étonnant car dans l’ensemble, l’ouvrage reste une traduction en français, avec une touche personnelle, des référentiels techniques de gestion de la continuité d’activité. Ce qui est pour nous une erreur, est révélateur du besoin de travaux reliant des aspects de psychologie de la gestion de crise aux aspects méthodologiques allant de la phase d’initialisation à la phase de management en condition opérationnel pour arriver à une amélioration continue orientée vers l’apprentissage de la surprise.

3.4 Curieusement, alors que la continuité d’activité en appelle par définition à prendre en compte des notions bien connues en management comme la résilience collective, aucun ouvrage recensé ne fait le lien entre PCA et une résilience autrement que technique. Cette dimension n’est reprise que succinctement dans des articles dispersés ou dans des ouvrages de gestion de crises. Tous restent cantonnés en quasi-totalité dans leur contenu sur de la méthodologie et aspects techniques. Dans ce manque de dépassement de la rationalité technique, nous finissons par nous rendre compte que finalement, aucun ouvrage ne traite suffisamment du rôle du Risk Manager. Il est de facto, quand il est mentionné, envisagé uniquement comme responsable du projet.

3.6 Face à ces contraintes liées à toute problématique nouvelle, nous devons prendre la pleine mesure de sa spécificité. Pour cela, plusieurs méthodes ont été mises au point permettant de caractériser tout type de problème. Celle employée pour notre problématique sera la méthode CIFUGE :
CARACTERES simple assez simple assez complexe Complexe
IMPORTANCE sans importance peu important assez important Important
FREQUENCE ponctuel occasionnel fréquent permanent
URGENCE sans urgence peu urgent assez urgent très urgent
GRAVITE sans gravité peu grave assez grave critique
ETENDUE ponctuel restreint large général

La problématique que nous traitons est « assez complexe » à résoudre car elle touche à des aspects cognitifs et comportementaux, tout en sachant qu’elle est peu documentée sur ce sujet. Elle est « importante » car elle améliore très nettement la technique. Du fait qu’elle n’est généralement pas une problématique de premier plan cela en fait un problème « permanent ». Il est « assez urgent » de la résoudre car elle permet de pallier à un risque improbable mais très impactant, ce qui en fait donc une problématique « critique ». Son étendue est « large » car elle touche toute forme d’organisation, le service public en tête.

B. Analyse du problème

[confidentiel]

Assurance-Risk Management : Récit d'expérience d'un professionnel

Publié le 10/07/2008 à 12:00 par riskmanagerloictournez
Vu sur Viadeo, écrit par un gestionnaire de risque :

"L'assurance aussi importante qu'elle soit est un outil de gestion des risques. Elle permet de le transférer le risque de l'entreprise vers l'assureur.
Une bonne gestion des coûts d'assurance passe par une bonne analyse des risques. Ensuite, agent, courtier ont les bonnes bases pour proposer un contrat et l'entreprise sait sur quoi négocier.
Je prends un exemple personnel : Quelle durée pour une perte d'exploitation pour une pharmacie ? 6 mois ? 12 mois ? Plus ?
Et bien je connais une pharnacie qui a brûlé en juin. C'est sur une zone touristique. Les professionnels du bâtiment avec la période d'été auront besoin d'au moins 8 mois pour reconstruire. Alors la prime sur 12 mois trop chère ? Certe non. Celle sur 6 mois certe oui car elle risque de ne pas sauver l'entreprise.
Il parait que 50 % des entreprises ayant subit un sinistre incendie ont disparues 5 ans après. C'est ce qu'on dit dans certaines formation de source assureurs.
Partons du risque, l'assurance vient après et un professionnel de l'assurance saura aussi vous conseiller sur ce plan... J'en connais ! "

---------------------

Alors en effet, après cette bonne présentation, j'ajouterai que le monde de l'assurance c'est quelque peu adapter à cette pratique de la gestion des risques par leurs assurés, il en est même un des fondateurs via notamment la création des principes de prévention et de protection.

On a donc la méthode classique où l'assureur fournit de la documentation à son assuré contenant des recommandations pour une gestion des risques efficace.
Et on a une méthode plus innovante comme celle employée par une grande compagnie d'assurance suisse où la compagnie emploie un cabinet pour faire le lien entre eux et l'assuré. Ce cabinet est de logique inverse au courtier. Il ne représente pas l'assuré mais l'assureur. Son rôle est de participer à la définition des risques spécifiques de l'assuré, de les proposer à la compagnie d'assurance qui fera un contrat quasiment sur mesure. On intègre donc dans le contrat d'assurance la qualité des risques de l'assuré. En d'autres terme, l'assurance prend en compte la gestion des risques qui est faite par l'assuré en ne lui proposant pas un contrat type pour un secteur d'activité.

Le monde de l'assurance et du courtage sont de très bon partenaires aujourd'hui pour la gestion des risques, je dirais même q'ils sont devenus indispensables, réduisant alors l'opposition fondamentale entre Assurance et gestion des risques.

"LES" Risk Management

Publié le 15/05/2008 à 12:00 par riskmanagerloictournez

Ca qu'il y a de bien avec le Risk Management, c'est que c'est une grande famille, et il y en a pour tous les goûts et tous les niveaux.


Voici, pour une double utilité (voir plus), des sites internet consacrés à la gestion des risques selon une spécialité :


1/ Gestion des risques Sécurité/Sureté/Santé/Environnement :

http://www.expertsdurisque.com/
=> Actualité, Informations diverses, offres d'emplois.

http://www.securiteprivee-enfrance.com/
=> Encore plus opérationnel, et encore plus sécurité.

http://www.hse.gov.uk/risk/
=> En anglais. Va dans le détail et donne des exemples pratiques.

http://www.epa.gov/nrmrl/
=>Risk Management Research. Recherche sur les risques liés à l'environnement par l'agence de protection de l'environnement US. Pas mal de ressources.


2/ Gestions des risques en Collectivité Territoriale :

http://www.publicgouvernance.com/
=> site d'un cabinet de consultants spécialisés mais qui informe aussi.



3/ Gestion des risques d'établissements financiers :

http://www.blogg.org/blog-55282.html

http://www.rmahq.org/RMA/
=> Association qui fait référence en la matière. Produisent un magazine.



4/ Financial Risk Management :

http://www.contingencyanalysis.com/
=> En anglais, mais présente des archives intéressantes.

http://www.garp.com/
=>Global Association of Risk Professionals. Va du magazine au passage de l'examen Financial Risk Manager pour une reconnaissance internationale des compétences.



5/ Gestion des risques dans les établissements de santé

http://www.sofgres.org/
=> Site de l'association SOFGRES, Actualité, Offre d'emplois

http://www.nhsla.com/RiskManagement/
=> Système de gestion des risques dans le secteur de la santé qui se fait en GB.


6/ Gestion de Crise

http://www.observatoire-crises.org/

http://www.communication-sensible.com/portail/

http://www.crise-presse-manager.fr/



7/ Gestion des Risques Juridiques

http://www.afje.org/index_flash.htm
=> Association Française des Juristes d'Entreprise qui organise des journées Risk Management

http://www.droit-ntic.com/news/afficher.php?id=229
=> Juste un article sur la gestion des risques centré juridique trouvé sur un site de droit. L'article ne parle cependant pas d'autres risques...

http://expert-mag.lentreprise.com/?Legal-Risk-Management-pour-une
=>Idem



8/ Gestion des risques Informatique et Réseaux :

http://www.vulnerabilite.com/
=> Parle peu de Risk Management. Sécurité Informatique surtout.



9/ Gestion des risques de transports de matières dangereuses (Logistique) :

http://hazmat.dot.gov/riskmgmt/risk.htm
=> Anglosaxon. Fourni allègrement les informations, très méthodique.



10/ Gestion des risques climatiques :

http://www.wrma.org/
=> Weather Risk Management Association.



11/ Risk Management global

http://www.theirm.org/
=> Site de l'Insitute of RIsk Management

http://www.rims.org/
=>Risk & Insurance Management Society. Beaucoup de postes proposés aux Etats Unis!!

http://www.rmia.org.au/
=>Risk Management Institution of Australasia. Toujours anglosaxon. On y trouve une revue et des opportunités. Mais pas agréable à lire, j'ai mal aux yeux maintenant...

http://www.arimi.org/arimi/index.html
=> Asian Risk Management Insitute. En bas à droite du site, petite rubrique d'articles, mais intéressant.

http://www.rmis.com/
=> Risk Management Internet Services. Librairie de risk management sur internet. On y trouve des documents variés et intéressants, mais pour accéder, cela demande un abonnement payant. A vous de voir...


https://acc.dau.mil/rm
=>Communauté axée autour des risques et leur gestion. Anglosaxon. Avec des possibilités de trouver de précieuses informations très très pratiques et opérationnelles. Il faut fouiller, mais très intéressant.








DERNIERS ARTICLES :
Citation du jour : Une que j'aime....
Oui une citation que j'aime car elle colle parfaitement avec ma vision du management, et donc du risk management, mais de manière générale à ce qu'il faut réussir à faire
La sélection pour devenir Risk Manager
Bonjour,   Je reviens de longs mois de silences. Professionnel de la gestion des risques, mais aussi depuis quelques temps en formation pour devenir en sus accompagnateur
Entreprendre : Trouver la perle rare est difficile
Entreprendre est une démarche pleine d'adrénaline. Le parcours est encore plus stimulant, quand on pense avoir trouvé la perle rare, l'activité qui n'existe pas et qu'on
IT Risk Management : 5 menaces à prendre en compte
L'ingénierie sociale, le phishing ciblé ou à grande échelle et l'abus de la confiance des gens en général, en association avec des chevaux de Troie démultiplient la nuisa
Risques Psychosociaux: Sujet d'actualité (Suite)
Je véhicule ici un article, plus pessimiste que mon interprétation dans un article antérieur sur le même sujet. J'identifiais alors le mauvais dans le bon, les risques en
forum